SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Как устроены вредоносные программы

Как устроены вредоносные программы
19.11.2024

Руслан Рахметов, Security Vision

 

Занимаясь описанием видов кибератак год назад, мы рассказали вам про различные виды вредоносного программного обеспечения (ВПО), уделили внимание вирусам, червям и рэнсомвэр-программам. А в текущей статье приведём ещё больше примеров и расскажем, как устроен мир вредоносов, как они распространяются и как могут вам навредить.


ВПО ч1.png

 

В общем виде ВПО создаются для нанесения вреда компьютеру, сети или пользователю, но разрабатываются они, как и другие программы, а иногда и ведут себя, маскируясь под что-то полезное. Все виды наших сегодняшних объектов изучения может объединять понятие Мальварь (от англ. Malware, как сокращение от Malicious Software, вредоносная программа). Все виды ВПО отличаются по способам распространения, проникновения, внешнему виду и задачам, которые перед ними ставят злоумышленники.

 

1. Вирусы (Viruses) – программы, давшие название известному многим средству защиты информации (СЗИ), антивирусу, который мы описывали в своих обзорах ранее. Вирусы передаются через файлы, электронные письма, носители (например, флешки) и даже через уязвимости в системах. Основная особенность вируса – он требует действий пользователя для распространения (например, открыть файл или запустить программу).

 

Вирусы прикрепляются к другим файлам или программам и активируются, когда пользователь взаимодействует с заражённым объектом. Они могут повреждать данные, замедлять работу компьютера, показывать нежелательные сообщения или даже вызывать полное отключение системы.

 

Вирус проникает в файл или программу, изменяя его код, маскируется, чтобы пользователь не заметил изменений и активируется после взаимодействия с заражённым файлом. Далее вирус может удалять данные, изменять настройки системы, запускать другие вредоносные программы или выполнять специфические команды, а название своё получил от способа распространения: он создаёт свои копии и распространяет их, заражая новые файлы или устройства.

 

Сравнить его можно с вирусом гриппа, которым человек заражает других через контакт (так и файл заражает систему при взаимодействии), чернильное пятно, которое, как пролившиеся чернила, трудно убрать, и оно может испортить соседние страницы. Садовникам более близко описание семян сорняка: вирус «посажен» в один файл, но постепенно засоряет весь «сад».

 

Чтобы защититься, стоит использовать антивирус, не открывать подозрительные файлы и регулярно обновлять ПО.

 

2. Черви (Worms) – это самостоятельные программы, которые распространяются по сети без необходимости заражать другие файлы. Они используют уязвимости в операционных системах или сетевых протоколах, чтобы копировать себя на новые устройства. Черви часто не требуют взаимодействия с пользователем: они активно ищут цели в локальной сети или через интернет.

 

Червь использует уязвимость (например, незакрытый порт или старую версию ПО) для проникновения, затем создаёт свою копию в системе жертвы и сканирует сеть, чтобы найти новые устройства для заражения. Он может загружать другие вредоносные программы, вызывать перегрузку сети или повреждать данные, и после заражения червь действует самостоятельно, без управления пользователя. Сравнить его можно со стаей саранчи, которая пожирает все на своём пути, или ручейком воды, которая размывает стену, находит и расширяет бреши в защите.

 

3. Троянские программы (или просто Трояны, Trojans) маскируются под полезное или безобидное ПО. Их название происходит из мифа о Троянском коне, который был принят внутрь города под видом подарка.

 

Пользователь думает, что устанавливает полезную программу (например, игру или обновление). После запуска троян активируется в скрытом режиме и выполняет вредоносные действия, может открыть «дверь» в систему для других атак, собрать данные или внедрить вирусы. Троян может замедлить систему или отключить антивирус, чтобы остаться незамеченным, а затем выполнять свои действия, например, кражу паролей, майнинг криптовалюты или шпионаж за пользователем.

 

Первое сравнение исходит из легенды: троян выглядит безопасным, но внутри него скрывается опасность. Как конфета с ядом под красивой упаковкой или подарок, который выглядит ценным, но на самом деле вреден, или поддельная купюра, которая выглядит настоящей, но точно вызывает проблемы при использовании.

 

3.1. Банковские трояны (Banking Trojans) – это разновидность троянов, специально нацеленных на получение финансовой информации пользователей: логины и пароли для банковских систем, номера карт, PIN-коды и т. д. Они распространяются через фишинговые письма, загрузчики или заражённые сайты и мониторят посещение банковских сайтов или ввод данных. Злоумышленник использует украденные данные для снятия денег или перевода средств себе.

 

Сравнить такой троян можно с подозрительным человеком у банкомата, который подсматривает PIN-код, стоя за вами; мошенником, выдающим себя за банковского работника; скрытой камерой или фальшивым чеком, который использует мошенник.

 

4. Бэкдоры (Backdoors) – это программы или специальный код, который предоставляет злоумышленнику скрытый доступ к устройству. Иногда бэкдоры специально оставляют разработчики ПО, чтобы иметь доступ к системе для диагностики. Однако их часто используют хакеры для обхода систем безопасности.

Бэкдор может быть встроен в легальное приложение или внедрён через уязвимость. Злоумышленники используют бэкдоры для удалённого управления устройством. При этом система может работать как обычно, но хакер имеет возможность контролировать процессы и собирать данные, а также отключать защитные механизмы, чтобы внедрить другие вредоносные программы.

 

Бэкдор можно сравнить с чёрный входом в доме, с незапертой задней дверью, которой может воспользоваться грабитель; с дубликатом ключа или дверью без сигнализации: бэкдор работает как тайный тоннель, ведущий в крепость, о котором знают только враги, поэтому найти его можно только путём сканирования исходного кода приложений, например, СЗИ по типу SAST или DAST.

 

5. Загрузчики (Droppers) – это программы, которые предназначены для доставки других видов вредоносного ПО на устройство жертвы. Сам загрузчик не обязательно наносит вред, но его задача – «привезти» на устройство вирус, троян или шпионскую программу. Загрузчик распространяется как часть обычного приложения или вложения в письме, затем подключается к серверу злоумышленника и скачивает нужный вредоносный файл. Установленный таким образом вирус или троян начинает действовать.

 

Он как доставщик, который привозит «посылку» с неприятным содержимым, контейнер с «дополнительным» грузом. Сам по себе загрузчик работает как кукла-матрёшка: первая оболочка открывается и запускает скрытую угрозу.

 

6. Кейлоггеры (Keyloggers) – это программы, которые записывают нажатия клавиш на клавиатуре для получения паролей, логинов или другой конфиденциальной информации. Они устанавливаются как часть другого ПО или через уязвимость, фиксируют всё, что вводится с клавиатуры, и отправляют эти данные злоумышленнику. Аналогии:

   ·   Подглядывающий сосед: Как сосед, который следит за вашими действиями через окно.

   ·   Камера над клавиатурой: Записывает всё, что вы вводите.

   ·   Дневник-шпион: Как записная книжка, в которую кто-то записывает вашу информацию.

   ·   Жучок в телефоне: Как подслушивающее устройство для сбора данных.

   ·   Скрытая камера в магазине: Записывает действия покупателей для нечестных целей.

 

7. Вредоносные макросы (Malicious Macros) – действуют не как описанные выше программы. Это скрипты, встроенные в документы (например, Word или Excel), которые могут автоматизировать задачи для выполнения атак. Они распространяются через документы (ВПО приходит в виде файла с включёнными макросами), после открытия которых выполняет код (например, скачивает вирус). Сам макрос может быть безобиден сам по себе, но использован для загрузки вируса, трояна и др. представителя семейства ВПО.

 

Макросы можно сравнить с инструкцией, которая обманывает читателя (например, «полезные советы», которые приводят к поломке) или с приманкой для рыбы с крючком – вроде интересно и хочется съесть, но на самом деле это ловушка.

 

8. Руткиты (Rookits) – это программы, скрывающие присутствие вредоносного кода на устройстве. Сами по себе они иногда не способны причинить вреда, но благодаря своим свойствам помогают другим типам ВПО находиться в системе без обнаружения.

 

Они попадают на устройство через уязвимости или трояны, изменяют системные процессы и файлы, чтобы их нельзя было обнаружить и дают злоумышленнику возможность оставаться скрытыми. Сравнить их можно с хамелеоном, который становится невидимым или почти невидимым, или с мастером маскировки, который помогает другим эффективно спрятаться в «джунглях» заражаемого устройства.

Защититься от руткитов можно использованием программ для выявления руткитов и работой на учётной записи без прав администратора.

 

Описывая различные виды вредоносов, мы рассказали про то, как они устроены, каким способом распространяются и попадают на устройства пользователей. В завершение обзора мы поделимся с вами пятнадцатью экспертными советами по тому, как обезопасить себя от всех зловредов и защитить свои данные:


   1.   Установите современное антивирусное программное обеспечение и регулярно обновляйте его базы данных;

   2.   Убедитесь, что операционная система и установленные программы имеют актуальные обновления безопасности.

   3.    Используйте официальные магазины приложений (Google Play, App Store) и сайты производителей, скачивайте файлы только из доверенных источников.

   4.   Проверяйте URL-адреса перед переходом по ним: мошенники могут использовать поддельные сайты при помощи троянов и перехватчиков.

   5.   Не открывайте вложения от неизвестных отправителей и будьте осторожны с файлами форматов, например, *.exe, *.zip, *.docm: в них могут быть трояны, загрузчики и макросы.

   6.   Используйте разные устройства или изолированные учётные записи для работы и развлечений.


Работая в интернете:


   1.   Используйте безопасные соединения, работайте только через защищённые сети (HTTPS, VPN) и избегайте общественных Wi-Fi без шифрования.

   2.   Используйте песочницы (Sandbox) или виртуальные машины для проверки подозрительных программ перед установкой.

   3.   Не используйте устаревшие версии браузеров и его плагинов.

   4.   Установите блокировщики рекламы, чтобы избежать попадания на сайты с вредоносными баннерами.

   5.   Если это не требуется, отключите выполнение макросов в Word, Excel и других офисных приложениях.


Для корпоративной среды:


   1.   Внедряйте многослойную защиту, используйте файрволы, системы обнаружения вторжений (IDS/IPS) и сегментацию сети.

   2.   Применяйте принцип минимальных привилегий для пользователей и систем, ограничьте права доступа по методологии Zero Trust.

   3.   Регулярно проводите тренинги по кибербезопасности и социальной инженерии, с применением, например, технологий Kaspersky, Phishman или Deteact.

   4.   Используйте двухфакторную аутентификацию (2FA/MFA) для повышения безопасности аккаунтов.

   5.   Регулярно создавайте резервные копии критически важных данных и храните их в изолированных системах.

   6.   Используйте шифрование для хранения и передачи конфиденциальной информации.

   7.   Используйте инструменты анализа трафика, чтобы выявлять подозрительные соединения.

   8.   Регулярно анализируйте журналы событий (лог-файлы) для выявления подозрительной активности.


Соблюдение этих рекомендаций значительно снижает вероятность заражения ВПО. Даже простые меры, такие как регулярное обновление системы и осторожность при открытии файлов, могут предотвратить множество угроз.

ИБ для начинающих Нарушители ИБ Защита персональных данных Практика ИБ

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика